Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

264 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 263 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr N1 := k1A (D1 , N2 ) und sendet N1 an M1. N1 wird als MIX-Eingabenachricht bezeichnet. Jeder Mi erhält von Mi-1 bzw. von A die Nachricht Ni ; die Umcodierung von Ni besteht in der Entschlüsselung mit k1A bzw. di und dem Beseitigen von Di . Für M1 könnte natürlich statt des symmetrischen ebenfalls das hybride Kryptosystem verwendet werden, was jedoch den Aufwand zur Bildung von N1 nur unnötig erhöhen und die Sicherheit in gewissen Fällen verschlechtern würde. 5.5.1.7 Zuverlässigkeit 5.5.2.1 Parameter zur Beschreibung der benötigten kryptographischen Systeme Offensichtlich stellen die MIXe einer Kaskade hinsichtlich der Zuverlässigkeit ein Seriensystem dar. Hier würde es aber wohl genügen, jeden MIX intern fehlertolerant auszulegen. Falls trotzdem ein MIX ausfallen sollte, können die an diese OVSt angeschlossenen Netzabschlüsse in allen Nachrichten diesen MIX auslassen. Es gibt auch sich über mehrere MIXe erstreckende Fehlertoleranzverfahren, vgl. §5.4.6.10 und [Pfi1_85 §3.1, MaPf_87, Pfit_89 §5.3]. Diese erhöhen aber den Aufwand, und das Problem der anonymen Rückadressen, das diese Verfahren vor allem nötig macht, tritt im hier beschriebenen Verfahren nicht auf. Die im folgenden verwendeten Parameter orientieren sich an den jeweils bekanntesten Vertretern der symmetrischen bzw. asymmetrischen kryptographischen Systeme, nämlich DES und RSA, vgl. §3.7 und §3.6. Wiederholt (vgl. §5.4.6.8) und bekräftigt sei an dieser Stelle, daß die Sicherheit dieser kryptographischen Systeme und damit auch die jeder darauf basierenden MIX-Implementierung bislang noch nicht einmal relativ zu einem als schwer erachteten Problem, z.B. der Faktorisierung, bewiesen wurde. Dieser Nachteil wird hier nur deshalb ignoriert, weil einerseits dasselbe auf alle praktikablen Konzelationssysteme zutrifft, andererseits DES und RSA zumindest als praktisch gut untersucht und im öffentlichen Bereich als ungebrochen gelten. Die Parameter und ihre angenommenen Werte sind in Bild 5-47 zusammengefaßt. Hinsichtlich der Sicherung vor Übertragungsfehlern ändert sich gegenüber dem ISDN nichts. Auch hier wird nur eine streng synchrone, aber ansonsten ungesicherte Übertragung angenommen. Durch Verwendung einer geeigneten synchronen Stromchiffre (Pseudo-one-time-pad; Betriebsart OFB) wird eine zusätzliche Ausbreitung von Bitverfälschungen auf den 64-kbit/s-Kanälen verhindert. Auf dem Signalisierungskanal wird die Verwendung entsprechender Protokolle, z.B. HDLC, zur Sicherung der Übertragung gegen Fehler angenommen. 5.5.2 Aufwand Im folgenden soll anhand einer sehr einfachen Leistungsabschätzung die Praktikabilität der in den vorhergehenden Abschnitten beschriebenen Telefon-MIXe demonstriert werden. Es wird sich zeigen, daß bei Beschränkung auf 2 • 64 + 16 kbit/s Duplexkanäle für m = 10 MIXe ungefähr 5000 Netzabschlüsse an eine MIX-Kaskade angeschlossen werden können. Parameter symmetrische Stromchiffre asymmetrische Blockchiffre Schlüssellänge s sym = 128 bit irrelevant Blocklänge b sym = ∞ b asym = 660 bit Als Hauptengpässe werden sich herausstellen • die Übertragung der ZS- und ZE-Kanalaufbaunachrichten, Verbindungswunschnachrichten und Rückmeldungen von den Netzabschlüssen an die OVSt sowie • die Verteilung der Verbindungswunschnachrichten an die Netzabschlüsse. Länge der |N| basym Verschlüsselung von N (falls |N| ≤ basym ) Bild 5-47: Parameter der verwendeten kryptographischen Systeme 5.5.2.1.1 Symmetrisches Konzelationssystem Beides muß über den 16-kbit/s-Signalisierungskanal erfolgen. Da ein Teil seiner Bandbreite für die Sicherung gegen Übertragungsfehler verwendet werden muß und möglicherweise auch einige schmalbandigere Dienste über den Signalisierungskanal abgewickelt werden, soll im folgenden lediglich mit einer verfügbaren Bandbreite zur Signalisierung von b = 12 kbit/s in beiden Richtungen gerechnet werden. Die Vorbereitung und Verarbeitung der Nachrichten durch die Netzabschlüsse, das Mixen und die eigentlichen Datenkanäle stellen demgegenüber ein geringeres Problem dar. Im folgenden wird von einer sicheren Blockchiffre mit 128 bit Schlüssellänge ausgegangen, z.B. einer Verallgemeinerung von DES mit anderer Teilschlüsselerzeugung, vgl. §3.7.7. Für das hier vorgestellte Verfahren benötigt man eine synchrone Stromchiffre, d.h. die symmetrische Blockchiffre wird im OFB-Modus betrieben, vgl. §3.8.2.4. Es entsteht keine Expansion durch Auffüllen von Blöcken oder ähnlichem. In §5.5.2.1 werden zunächst einige Parameter zur Beschreibung der benötigten kryptographischen Systeme eingeführt und typische Werte angegeben. In §5.5.2.2 wird die Dauer z einer Zeitscheibe abgeschätzt, und in §5.5.2.3 die Anzahl n der Netzabschlüsse, die an eine MIX-Kaskade angeschlossen werden können. In §5.5.2.4 wird die Komplexität der von den Netzabschlüssen und MIXen je Zeitscheibe durchzuführenden Aufgaben betrachtet, und in §5.5.2.5 schließlich die Verbindungsaufbauzeit abgeschätzt. 5.5.2.1.2 Asymmetrisches Konzelationssystem Für das asymmetrische kryptographische System RSA erscheint zu Zeit eine Moduluslänge von 660 bit als ausreichend, vgl. §3.6. Zur Erinnerung und Anpassung der Notation sei das Bildungsschema der Nachrichten gegeben: Angenommen, ein Teilnehmer möchte über seinen Netzabschluß A die (bereits Ende-zu-Endeverschlüsselte) Nachricht N an den Netzabschluß B eines anderen Teilnehmers senden, und zusätzlich jedem MIX Mi gewisse Daten Di zukommen lassen. Dann bildet er nacheinander die m+1 Nachrichten Nm+1 := N Ni := c * i (Di, Ni+1) für i = m, m-1, …, 2, (1)
266 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 265 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 5.5.2.2.1 Länge einer MIX-Eingabenachricht 5.5.2.1.3 Hybride Verschlüsselung Gemäß §5.5.2 (1) gilt |N1 | ≤ |D1 | + |N2 | bzw. für i = 2, …, m gemäß §5.5.2.1.3 (3) |Ni| = max { basym, |Di| + |Ni+1| + ssym}. Um Übertragungskapazität zu sparen, wird bei der hybriden Verschlüsselung stets ein möglichst großer Teil N' des Klartextes N in den ersten, asymmetrisch verschlüsselten, Block hineingezogen, d.h. es ist, wenn N" der Rest von N ist, (2) c * E (N) := ⎨ ⎩ ⎧ cE (N) falls |N| ≤ basym cE (kSE ,N'), kSE (N") sonst. Da für i < m die Nachricht Ni+1 wenigstens aus einem asymmetrisch verschlüsselten Block besteht, gilt für i < m stets |Ni+1| ≥ basym. Damit folgt nach Auflösung der obigen rekursiven Gleichungen m-1 + (m-2) • s sym + max { b asym , |D m | + |N m+1 | + s sym }. (5) |Dj| |N 1 | = ∑ j=1 Im folgenden soll stets von Gleichung (5) ausgegangen werden. 5.5.2.2.2 Abschätzung Die Strukturen der drei interessierenden Nachrichtentypen sind in den Bildern 5-43, 5-44 und 5-46 dargestellt. Den Feldern sind folgende Längen zugeordnet worden: Zur Bestimmung der Länge von c * E (N) ist zu beachten, daß zur Gewährleistung der Unbeobachtbarkeit die in §5.4.6.2 verwendete Verschlüsselung indeterministisch sein muß. Bei Verwendung von RSA muß daher dessen Determinismus beseitigt werden, indem die Nachricht vor der Verschlüsselung indeterministisch codiert, d.h. im wesentlichen um eine Anzahl a zufällig gewählter Bits erweitert wird. Die dadurch verursachte Längenexpansion kann sinnvoll genutzt werden, indem eben jene a zusätzlichen Bits als symmetrischer Schlüssel kSE verwendet werden. Damit ist a = ssym. Die genaue Realisierung der „Erweiterung“ ist leider nicht trivial. So wurde gezeigt, daß speziell bei Verwendung von RSA die in [Chau_81] nahegelegte Codierung durch Voranstellen zufällig gewählter Bits ein unsicheres MIX-Netz ergibt, vgl. §5.4.6.8. Bild 5-43, 5-44, 5-46: • Zeitscheibennummer: 30 bit • Ortsnetzkennzeichen: 22 bit Bild 5-43, 5-44: • Entgeltmarke zur Bezahlung der Fernnetzbenutzung: 670 bit • Kanalkennzeichen: 28 bit Ungebrochen ist jedoch folgende Erweiterung, von der im folgenden auch ausgegangen werden soll: Vor der Verschlüsselung einer Nachricht wählt sich der Verschlüßler einen zufälligen, ssym bit langen String und konkateniert ihn mit der Nachricht. Die so erweiterte Nachricht wird mit einer festen und möglichst wenig strukturerhaltenden Permutation π des Klartextraumes „verwürfelt“. Die Permutation π und ihre Inverse π -1 sind allgemein bekannt. (Sie könnten z.B. durch einen festen Schlüssel eines symmetrischen Konzelationssystems beschrieben werden.) Beim Entschlüsseln wird umgekehrt verfahren, d.h. zunächst die inverse Permutation π -1 angewandt und dann der ssym bit lange String entfernt. Bild 5-46: • Unterscheidung bedeutungslose Nachricht / bedeutungsvolle Nachricht: 1 bit • Startwert sRG des PZBFG: 128 bit • Zeitschranke für Gültigkeit (d.h. das Warten von R auf G): 20 bit • Berechtigungsmarke zur Angabe der Priorität eines Verbindungswunsches: 670 bit Geht man von dieser Erweiterung aus, so ist |c * E (N)| = max { basym, |N| + ssym }. (3) Für die beiden Marken wurde jeweils angenommen, daß die Priorität der Berechtigungsmarke bzw. der Wert der Entgeltmarke nicht nur implizit in der Signatur (bei RSA: 660 bit) durch unterschiedliche Signaturen, sondern auch explizit (in weiteren 10 bit) angegeben wird. Dies erspart der kontrollierenden OVSt das Durchprobieren aller möglichen Schlüssel zum Prüfen von Signaturen. 5.5.2.2 Minimale Dauer einer Zeitscheibe Für eine ZS- oder ZE-Kanalaufbaunachricht gilt für i = 1, …, m-1 jeweils |Di | = 30 bit, da der Schlüssel des symmetrischen Konzelationssystems bereits für die hybride Verschlüsselung gezählt wurde, und |Nm+1| = 0. Für eine ZS-Kanalaufbaunachricht ist |Dm | = 750 bit, d.h. nach (5) |Nm | = 750 bit + ssym . Für eine ZE-Kanalaufbaunachricht ist |Dm | = 58 bit, d.h. nach (5) |Nm | = basym . Damit folgt aus (5) LZS = (m-1) • (30 bit + ssym ) + 750 bit (6) LZE = (m-1) • (30 bit + ssym ) - ssym + basym . Jeder Netzabschluß muß für jede Zeitscheibe und jeden ihm zur Verfügung stehenden 64-kbit/s- Datenkanal drei MIX-Eingabenachrichten senden: eine ZS- und eine ZE-Kanalaufbaunachricht sowie eine Verbindungswunschnachricht. Deren Längen seien mit LZS , LZE bzw. LV bezeichnet. Die Länge einer Rückmeldung (vgl. [PfPW1_89 §2.2.3]) wird mit LR bezeichnet. Wird RSA als Signatursystem verwendet, so gilt im wesentlichen LR = basym , was im folgenden auch angenommen werden soll. Da die Rückmeldungen ob ihrer kurzen Länge ohnehin kaum ins Gewicht fallen, wird angenommen, daß jeder Netzabschluß für jede Zeitscheibe eine Rückmeldung sendet. Ein Netzabschluß muß also in der Lage sein, über seinen Signalisierungskanal in jeder Zeitscheibe 2 • (LZS + LZE + LV ) + LR bit zu übertragen, d.h. es muß gelten . (4) z ≥ 2 • (L ZS + L ZE + L V ) + L R b Für eine Verbindungswunschnachricht gilt für i = 1, …, m-1 jeweils |Di| = 30 bit, und |Dm| = 723 bit. Nach (5) ist |Nm | = 723 bit + |Nm+1 | + ssym . Umgekehrt reicht |Nm+1 | = basym aus, da der Empfänger lediglich 200 bit erhalten muß. Damit ist LV = (m-1) • (30 bit + ssym ) + basym + 723 bit. (7) Die Längen LZS, LZE und LV sollen im folgenden abgeschätzt werden. In §5.5.2.2.1 wird hierzu die Länge einer MIX-Eingabenachricht allgemein abgeschätzt, in §5.5.2.2.2 werden die speziellen Werte in Gleichung (4) eingesetzt.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88: 162 A. Pfitzmann: Datensicherheit u
Seite 137: 262 A. Pfitzmann: Datensicherheit u
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?